+43 699 / 18199463
office@itexperst.at

Schadsoftware in bayerischem AKW Grundremmingen entdeckt

Es war dann doch ein Schreckmoment, als die Meldung über Computerviren im Atomkraftwerk Grundremmingen an die Öffentlichkeit durchsickerte. Der Pressesprecher des von der RWE-Gruppe betriebenen bayerischen Atomkraftwerks Tobias Schmidt konnte sogleich bekannt geben, dass es sich bei der Schadsoftware um den Wurm Conficker und dem Virus W32.Ramnit handelte. Entwarnung konnte nur insofern gegeben werden, dass es sich wohl nicht um einen direkten Hackerangriff gehandelt hat.

Gefunden wurde die Schadsoftware in einem System, das mit der Brennelemententlademaschine verbunden ist, jedoch keinen Einfluss auf die Anlagensteuerung selbst hat. Die genannte Schadsoftware befand sich auch auf 18 Wechseldatenträgern wie USB-Geräten und dergleichen von Büro-Computern. Sie wurde bei Vorarbeiten zu einer internen Revision des B-Blocks entdeckt und sofort bereinigt.

Von der Schadsoftware sei „kein System mit sicherheitstechnischer Bedeutung” betroffen, so der Pressesprecher weiter. Damit hätte auch nie eine Gefährdung des Personals oder der Bevölkerung stattfinden können, wurde hinzugefügt. Insbesondere aber auch deshalb schon nicht, da alle kritischen Kraftwerksbereiche vom Internet abgekoppelt seien. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie die Atom Aufsichtsbehörde wurden informiert. Der Energiekonzern RWE beauftragte Spezialisten herauszufinden, wie das Virus in das acht Jahre alte Computersystem des Atommeilers gelangen konnte.

Interessanterweise handelt es sich sowohl bei Conficker als auch bei W32.Ramnit um relative alte Schadsoftware. Conficker wurde 2008 erstmals entdeckt, W32.Ramnit 2010. Conficker hatte seinerzeit die Aufgabe Anwenderdaten und private Finanzdaten zu stehlen und gleichzeitig die infizierten Computer in sogenannte Bots zu verwandeln. Über solche Bots sollten dann DDoS Attacken ausgeführt werden. Conficker trieb sein Unwesen weltweit auf Millionen von Rechnern und konnte sich dadurch selbst verbreiten, da er in der Lage war sich selbst zu kopieren. Der Remote-Access-Trojaner W32.Ramnit half auf Systeme zuzugreifen und bösartigen Code in Webseiten einzuspielen, der insbesondere Bankdaten ausspionieren konnte.

Beide Schadprogramme befallen alle Geräte, die auf Windowssystemen laufen. Am anfälligsten sind allerdings solche Systeme, die seit 2008 keine Sicherheitsupdates mehr erhalten haben. Und damit stellt sich natürlich gleich die Frage – warum wurden die beiden Viren nicht vom Virenschutz erkannt? Dazu konnte der Pressesprecher noch keine Informationen geben.

Der exakte Infektionsweg müsse zuerst nachvollzogen werden, hieß es.
Mikko Hypponen, Chefforscher der finnischen IT-Firma F-Secure bestätigte, dass derartige Infektionen erstaunlicherweise sehr häufig vorkommen, aber generell keine Gefahr darstellen, es sei denn, dass der Angriff speziell auf das Kraftwerk ausgerichtet worden sei. Die meisten Viren verbreiten sich, ohne dass sie große Beachtung finden. Als Beispiel beschrieb er wie ein europäischer Flugzeughersteller wöchentlich seine Cockpits von Malware für Android Telefone bereinigt, die sich über USB-Stecker beim Ladevorgang im Cockpit verbreiten. Aber da die Flugzeuge völlig andere Betriebssysteme haben, stellen die Viren keine Gefahr da. Allerdings werden andere Geräte, die dieselbe Ladebuchse verwenden, durchaus infiziert.

Auf ähnliche Weise werden sich die beiden Viren auf die AKW-Systeme übertragen haben. Die Frage bleibt – wann? Entweder wurden sie schon bei der Installation des Systems 2008 eingeschleppt oder kurz danach. Vieles deutet jedoch auf haarsträubende Sicherheitskontrollen hin, womöglich auch auf fehlende Sicherheitsupdates. Denn wie können solche, doch recht bekannten Schadprogramme sich jahrelang unbemerkt in den Systemen eines deutschen Kernkraftwerks verstecken?

Nach Meinung von Sicherheitsexperten wie Michael Assante und Donald Williams müssen derartig kritische Infrastrukturen mit weit mehr als einfachen Cyber-Firewalls geschützt werden. Es gilt hier ständig in die Entwicklung allerneuster Abwehrtechniken zu investieren. Unternehmen sollten außerdem prüfen, wie sie am effektivsten die Nutzung von USB-Schnittstellen beschränken können und gleichzeitig die Durchführung von sicherheitsrelevanten, kritischen Betriebsabläufen gewährleisten können.

Artikel von arstechnica.com, 27.04.2016: German nuclear plant’s fuel rod system swarming with old malware
Artikel von reuters.com, 27.04.2016: German nuclear plant infected with computer viruses, operator says

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen